azorek69

FIXMBR poskutkował. Dziękuję. Myślę, że póki co to tyle pytań.

Pozwolę sobie zrobić to jutro Dziękuję za poświęcony czas EDIT: Konsola usunięta, wcześniej tego nie robiłem, ponieważ wystarczyło mi wyedytowanie boot.ini (przynajmniej tak mi się wydawało) Niestety FIXBOOT nie pomógł. Wklejam wyniki MD5 z OTL po usunięciu konsoli i FIXBOOT OTL logfile created on: 2011-05-10 09:58:08 - Run 4 OTL by OldTimer - Version 3.2.22.3 Folder = D:\!!!!!!!!!rootkit Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 58,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 61,00% Paging File free Paging file location(s): [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 12,00 Gb Total Space | 2,35 Gb Free Space | 19,55% Space Free | Partition Type: NTFS Drive D: | 43,89 Gb Total Space | 5,30 Gb Free Space | 12,09% Space Free | Partition Type: NTFS Drive E: | 379,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: ACER4021WLMI | User Name: Kris | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < MD5 for: NTDETECT.COM > [2006-10-07 02:13:11 | 000,047,564 | RHS- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\NTDETECT.COM [2004-08-03 22:38:34 | 000,047,564 | ---- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\WINDOWS\ServicePackFiles\i386\ntdetect.com < MD5 for: NTLDR > [2008-10-24 04:15:02 | 000,251,152 | RHS- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\ntldr [2008-04-13 20:31:58 | 000,251,152 | ---- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\WINDOWS\ServicePackFiles\i386\ntldr < End of report > Jak na moje, to poza zniknięciem plików konsoli, żadnych zmian.

OTL logfile created on: 2011-05-09 21:22:05 - Run 3 OTL by OldTimer - Version 3.2.22.3 Folder = D:\!!!!!!!!!rootkit Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 29,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 31,00% Paging File free Paging file location(s): [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 12,00 Gb Total Space | 2,31 Gb Free Space | 19,26% Space Free | Partition Type: NTFS Drive D: | 43,89 Gb Total Space | 5,30 Gb Free Space | 12,09% Space Free | Partition Type: NTFS Drive E: | 379,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: ACER4021WLMI | User Name: Kris | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < MD5 for: NTDETECT.COM > [2004-08-03 23:38:34 | 000,047,564 | ---- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\cmdcons\NTDETECT.COM [2006-10-07 02:13:11 | 000,047,564 | RHS- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\NTDETECT.COM [2004-08-03 22:38:34 | 000,047,564 | ---- | M] () MD5=B2DE3452DE03674C6CEC68B8C8CE7C78 -- C:\WINDOWS\ServicePackFiles\i386\ntdetect.com < MD5 for: NTLDR > [2008-10-24 04:15:02 | 000,251,152 | RHS- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\ntldr [2008-04-13 20:31:58 | 000,251,152 | ---- | M] () MD5=B9571DF2FFE8031E58370FC017691136 -- C:\WINDOWS\ServicePackFiles\i386\ntldr < End of report >

Właściwie to przede wszystkim usunięcie elementów z kosza. Ja nie korzystam z kosza, wiec usuwam pliki bezpośrednio, jednak sam nie korzystam z komputera i wolałbym wiedzieć, czy inny członek rodziny nie usunął czegoś "do kosza". No nieważne, przeżyje jakoś. [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Witam po dość długiej przerwie. Niestety nawał obowiązków nie pozwalał mi na zajęcie się wszystkim na poważnie. Oprogramowanie uaktualniłem, oprócz antywira i k-lite codec packa. Wykonałem też skrypt OTL, szkoda, ze wcześniej nie sprawdziłem co oznaczają komendy [emptyflash] i [emptytemp]. Generalnie wole śmieci usuwać ręcznie niż automatycznie... :/ Postaram się teraz skonfigurować wspominane WTW. Załączam też loga z usuwania OTL. boot.ini przywracałem z pliku .BAK wygląda dokładnie tak jak na stacjonarnym kompie, podobnie układ dysków wygląda na dobry, partycja systemowa jest prawidłowo wykrywana jako systemowa. Tak sobie przypomniałem (poniekąd), że mój problem może wynikać z nieudanej próby uruchomienia ComboFixa na laptopie, chyba wtedy on się po prostu na jakiejś czynności zawiesił, przez ponad pół godziny żadnej aktywności nie wykazywał komputer, jednak niczego nie mogłem anulować w ComboFixie, dlatego nastąpił restart. Być może gdzieś jakieś flagi są źle poustawiane. A co do antywira, to muszę jeszcze podpytać/poczytać opinie. 05092011_123614.txt

Zrobione. Asktoolbar usunięty. Okazało się, że brakujący plik psvince.dll nie ma znajdować się w c:\windows\system32 tylko w folderze z daną instalacją (bo to plik instalatora InnoSetup). To samo było z K-Lite Codec Packiem. Przyznam, że wcześniej ściągnąłem właśnie taką samą wersją z myślą o nadinstalowaniu i ewentualnie odinstalowaniu, nie zadziałało, być może coś źle zrobiłem. Plik ctor.dll ściągnąłem, jednak też wrzuciłem do c:\windows\system32 trzeba było wrzucić w inne miejsce (szkoda pissć długiej ścieżki). W każdym razie to nie był jedyny brakujący blik instalatora InstallShield, dlatego musiałem przeprowadzić reinstalację InstallShield Engine. Teraz działa poprawnie. Reszty sprzątać już nie będę, myślę, że jak jakiś program nie będzie koledze działać, to sobie poradzi z reinstalacją. EDIT: Zapomniałem jeszcze o jednej sprawie. Widzę, że foldera Qoobox już nie ma. Pewnie OTL sprzątnął, jednak na dyskach są jeszcze foldery $AVG\$VAULT podejrzewam, że to foldery kwarantanny AVG, ale skoro już go odinstalowałem, to pewnie foldery spokojnie można usunąć? No i jeszcze sprawa odinstalowania Konsoli Odzyskiwania Systemu (czy co tam się zainstalowało z ComboFixem). Jakieś konkretne procedury są potrzebne? (na swoim laptopie chyba źle o kiedyś odinstalowałem, ponieważ teraz żeby zbootować system z dysku, muszę się tam dostać z menu Hiren's Boot CD - podejrzewam, że repair windowsa by pomógł, ale nie próbowałem). Jest jeszcze folder Kaspersky Rescue Disk 10, można usuwać? Właściwie skryptu nie wykonałem, ponieważ nie miałem czasu na to. Tak mnie uspokoiła wiadomość o braku infekcji u mnie, że zostawiłem swojego kompa w spokoju. Domyślałem się, ze wystarczy usunąć odpowiednie wpisy ze skryptu, jednak skoro uważasz, że wtyczka jest zbędna, to pewnie się jej pozbędę. Jak już pisałem podobne czynności mogę wykonać jdownloaderem. Rzeczywiście ciekawa ta Sumatra Ale zainstaluję oryginał również. No w takim razie rozejrzę się za czymś nowym. A z komercyjnych wersji co byś poleciła? OK, zainstaluję IE8 i wyłączę opcje z Kaspa, żeby nie klikać za dużo na "Allow" A tak na marginesie, czy pliki archiwum z GG ten programik przeczyta, czy stare wiadomości nie będą już dostępne?

Witam po dość długim czasie. Na weekend wyjechałem z domu, także nie mogłem sprawdzić odpowiedzi. A po powrocie dopiero teraz znalazłem chwilę, żeby zajrzec do tego komputera. KOMP KOLEGI Skrypt wykonany, zamieścić log z usuwania, czy tylko nowe logi OTL i gmer? Ashampoo Toolbar usunięy, Ask Toolbar nie chce się usunąć, wyskakuje komunikat o błędzie Cannot import dll c:\program files\askbardis\bar\bin\psvincse.dll Podobny komunikat pojawia się podczas próby deinstalacji k-lite mega codec pack. Inny proces deinstalacji zgłasza brak pliku ctor.dll. Pewnie będę musiał poczyścić rejestr ręcznie z tych wpisów. No właśnie zainstalowałem IE8 i już działa. W międzyczasie pousuwałem wiele zbędnych programów, jak również zainstalowałem KAV 2011. Załączam pliki. Czy mogę już przywrócić zmiany zrobione defoggerem? ---------------------------------------------------------------------- MÓJ KOMP Cieszę się, że nie ma infekcji. A a wtyczka DVDVideoSoft to nawet przydatna jest. Czasami z niej korzystam, celowo ją nawet zainstalowałem przy instalacji. (choć w sumie teraz do ściągania mp3 z youtube, to chyba jdownloadera używam). Adobe chyba odinstaluje w ogóle, bo za "duży". Myślałem, żeby się przerzucić na FoxitReadera, dobry typ? IE8 celowo nie instalowałem, ponieważ już chyba od wersji IE7 przy otwieraniu nowej karty Kasperski wyrzuca monit o otwieraniu przegłądarki z parametrami wiersza poleceń (ochrona proaktywna). Wiem, że te monity można wyłączyć, jednak chwalę je sobie w innych okolicznościach. Może nowsze wersje Kasperskiego sobie lepiej z tym radzą, nie sprawdzałem. No właśnie Kasperski jest stary, ale chyba spełnia swoją rolę, aktualizacje pobiera przynajmniej regularnie No chyba, że są jakieś przeciwwskazania, żeby tej wersji już nie używać? Co polecasz? GG jakoś mało używam, już nie wspominając o niechęci przerzucenia się na wszystkie nowsze wersje, za dużo wodotrysków. Sprawdzę to WTW, ktoś coś mi o tym niedawno wspominał i polecał. Ilość wolnego miejsca na partycji systemowej się u mnie ciągle zmienia. Generalnie wiem co się tu znajduje, czasem jak mi brakuje miejsca na innych partycjach, to przerzucam coś na systemową i to może tam na dłużej się zadomowić. A sprzątanie wszystkich partycji to ja przeprowadzam już chyba od ponad roku bez powodzenia Cóż, mój system się już od dawna prosi o czystkę, jednak nigdy nie mam dość czasu na to. FriendPC_OTL_2011.04.16.Txt FriendPC_OTL_Extras_2011.04.16.Txt FriendPC_gmer_2011.04.16.Txt

Ściągnąłem tą płytę Kasperskiego i już uruchomiłem skanowanie, logi zamieszczę po skończeniu skanowania (logi z ComboFixa również później, jeśli to nie problem). ComboFixa uruchamiałem kilkakrotnie, ale przed uruchomieniem skanowania z płytki Kasperskiego, znalazłem kilka wersji logów w folderze qoobox, wiec dodam najstarszy, chyba najwięcej plików usuniętych było wg tamtego loga. Jeśli skanowanie i płytka nie usuną infekcji, to rzeczywiście zrobię format. Szkoda czasu na walkę z wiatrakami. Pytanie tylko, jakie pliki mogę zbackupować? Zdjęcia i inne media? Dokumenty? Bo oczywiście jak rozumiem wykonywalnych oraz bibliotek nie ruszać. Korzystając z tej chwili chciałbym właśnie przedstawić logi z mojego PC. Logi OTL, Gmer i SecurityCheck. EDIT: Jako że nie ma jeszcze odpowiedzi, pozwolę sobie na edycję postu. Kaspersky Rescue Disk ukończył działanie, znalazł ok 900 infekcji. Większość z zarażonych plików znajduje się w System Restore i jest zarażona Nimulem. Trzy wymienione powyżej pliki z loga GMERa zarażone są trojanem Lebag. Jest też oczywiście kilkanaście plików używanych aplikacji, które są zarażone. Nawet GMER, OTL i chyba CF wyglądają na zarażone. Jak rozumiem mam usunąć wszystkie infekcje i przedstawić tu raport? Czy skan mojego własnego kompa tą płytką Kasperskiego nie zaszkodzi? EDIT2: Kolejna edycja. Infekcje z komputera kolegi usunąłem. Pobrałem logi z OTC i GMERa po usunięciu wszystkich wykrytych zagrożeń. Internet Explorer nadal nie działa, jednak przy jakimkolwiek skanie antywirusowym pliki IE nie były zainfekowane. Być może jakieś biblioteki się "pousuwały". Zadania z Harmonogramu zadań, miały chyba coś wspólnego z Windows Live i synchronizacją. TDSSkiller nie znalazł infekcji ani na komputerze kolegi, ani na moim. Dodatkowo Kaspersky Rescue Disk nie znalazł u mnie nic podejrzanego (poza znanymi mi zagrożeniami z keygenów, znajdujących się w archiwach). Załączam brakujące logi. Dodam opisy załączników, żeby było jaśniej: 1) MyPC_OTL.txt - log OTL z mojego komputera 2) MyPC_SecurityCheck.txt - log SecurityCheck z mojego komputera 3) MyPC_OTL_Extras.txt - log OTL z mojego komputera 4) MyPC_gmer.txt - log GMER z mojego komputera 5) FriendPC_gmer_new - log gmer z komputera kolegi, po wyleczeniu plików dyskiem ratunkowym Kasperskiego (raport jako ostatni załącznik) 6) FriendPC_ComboFix_1st_run.txt - pierwszy log CF z komputera kolegi 7) FriendPC_kaspersky_cured_files_1st_run.txt - pliki usunięte lub uleczone podczas skanowania dysku kolegi na moim komputerze 8) FriendPC_OTL_new.Txt - log OTL z komputera kolegi, po wyleczeniu plików dyskiem ratunkowym Kasperskiego 9) FriendPC_OTL_Extras_new.Txt - log OTL z komputera kolegi, po wyleczeniu plików dyskiem ratunkowym Kasperskiego 10) FriendPC_kaspersky_rescue_disk_report.txt - raport ze skanowania dyskiem ratunkowym Kasperskiego Kolejność czynności na komputerze kolegi: 1) FriendPC_kaspersky_cured_files_1st_run.txt 2) FriendPC_ComboFix_1st_run.txt 3) logi OTL i Gmer z pierwszego posta 4) FriendPC_kaspersky_rescue_disk_report.txt 5) FriendPC_OTL_new.Txt 6) FriendPC_OTL_Extras_new.Txt 7) FriendPC_gmer_new (Oby zadziałało tym razem) MyPC_OTL.Txt MyPC_OTL_Extras.Txt MyPC_gmer.txt MyPC_SecurityCheck.txt FriendPC_ComboFix_1st_run.txt FriendPC_kaspersky_cured_files_1st_run.txt FriendPC_OTL_new.Txt FriendPC_OTL_Extras_new.Txt FriendPC_gmer_new.txt FriendPC_kaspersky_rescue_disk_report.txt

Wiam. Dostałem od kumpla kompa do naprawy, bo działy się z nim "dziwne rzeczy". Na początek (jak to mam w zwyczaju) podłączyłem jego dysk pod mojego kompa i przeskanowałem go w całości Kasperskim. Znalazł mnóstwo zarażonych plików, które usunąłem. (mam log kasperskiego do wglądu jak będzie potrzeba) Następnie włożyłem dysk spowrotem do jego kompa i odpalilem system. Przejrzałem uruchomione usługi, obiekty startowe. Usunąłem kilka podejrzanych dla mnie wpisów w rejestrze. Inernet Explorer się nie uruchamia, prawdopodobnie z powodu toolbara AVG. Usunąłem AVG free antivirus 2011 za pomocą narzędzia ze srony producenta, plików deinstalacyjnych nie było juz na dysku. Odinstalowałem tez Kasperskiego, nie mogłem ściągnąć definicji wirusów, mimo aktywnego połączenia z internetem. Jest tu też zainstalowane oprogramowanie do urządzenia wielofunkcyjnego HP, wiele z jego plików było zainfekowanych wirusem, pewnie część z nich została usunięta. Zainstalowałem Firefoxa 4 i mogę się połączyć z internetem. Następnie zainstalowałem HiJackThis oraz ComboFixa i zebrałem logi (było to zanim przeczytałem info na Waszej stronie, że CF to ostatnia deska ratunku). Później zarejestrowałem się tu i przeczytałem instrukcje, dlatego zebrałem też logi z OTL, Gmera i SecrityCheck. To pierwszy raz kiedy proszę o analizę logów. Nie mam dużego doświadczenia z rootkitami i trojanami, ani z ComboFixem, dlatego liczę, żę się przy okazji czegoś nowego nauczę. Jeśli potrzeba logów z ComboFixa oraz HJT ewentualnie z Kasperskiego, to proszę o informację Z poważaniem, azorek69. P.S. Być może zaraziłem sobie swojego kompa jakimś trojanem, dlatego po skończeniu tego tematu chciałbym prosić o analizę kolejnych logów. Results of screen317's Security Check version 0.99.10 Windows XP Service Pack 3 Internet Explorer 7 Out of date! `````````````````````````````` Antivirus/Firewall Check: ``````````````````````````````` Anti-malware/Other Utilities Check: Java 6 Update 22 Out of date Java installed! Adobe Reader 9.4.2 - Polish Out of date Adobe Reader installed! Mozilla Firefox (x86 pl..) ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` OTL.Txt Extras.Txt gmer.txt